ユーザが脅威を意識しないでいいようにする、これは本当に是か?
標的型攻撃への備えなど、セキュリティ対策というと、システムが自動的に防御を行い、ユーザは脅威を意識しないでいいようにするべきだ。と言う方がいます。この考えには、理想としては賛同しますが、現実としては賛同しかねます。なぜなら、何も考えなくて良い環境は、セキュリティ意識を確実に弱体化させてしまうからです。
人は常に頭と体を使わなければ弱体化する生き物です
人は昔から、楽をしようとして頭を使い、様々な物を発明してきました。確かに世の中便利になりましたが、代わりに失ったものも沢山あります。原始的なものでは、何の道具も無しに火を熾せる現代人は果たしてどれくらいいるでしょうか?
より現実的なところでは、猟(または漁)をしてその日の糧を得ることができる現代人はどれくらいいるでしょうか?戦争や災害などによって生産ラインが止まり、食料供給が途絶えてしまえば、飢え死にする現代人が大量に出そうです。
また、宇宙に目をやれば、無重力空間では筋力を使わないので、あっという間に筋力が落ちます。宇宙ステーションで毎日運動をしなければ、地球に帰還した時にはまともに立って歩けない体になってしまうそうです。このように、人は常に頭と体を使い続けなければ、その機能は退化し、衰えていってしまう生き物です。苦しくても運動をする、ぼけ老人にならないために本を読む。いずれも、人としての機能が衰えないようにするために必要なことです。
あえて考えさせることも、セキュリティレベルの維持・向上には必要
あらゆる脅威に対し、システムが自動的に対応し、ユーザは何も意識しないで良いようにする。これはまさに理想です。人の知恵によって、いずれはそれが実現される時代が来るかもしれません。従業員を業務に集中させたい経営者層からすれば、今すぐにでもそうしてもらいたいと思っていることでしょう。その気持ちはよくわかります。
しかし、ユーザが脅威を意識しないで良いようになるということは、逆に、それについて何も考えなくなるということです。システムが全て自動的に対応するとなれば、考える機会自体が失われます。考えることがなければ、脅威に対する耐性が身につくはずもありません。システムが全て対応してくれるというのは、一見素晴らしいことのように思えますが、逆に、脅威に対する個々人の耐性を失うことになります。
これに対する反論としては、システムが全てやってくれるのだから、何の問題もないではないか。というものですが、システムは万能ではありません。万一、そのシステムが使えなくなったり、無効化されたらどうなるでしょうか?また、バグが混入し、誤った動作を始めてしまったら?
そのような「想定外」のことが起こった時に、脅威に対する耐性が失われてしまっていたら、それは組織にとって大きなリスクになります。「想定外」のことを「想定内」にしておくこともリスクマネジメントです。であるならば、脅威に対する耐性を失わないような手立てを講じることも、リスクマネジメントの一環として行うべきでしょう。
システムが自動的に防御を行うことができるのなら、是非そのようにすべきだと思いますが、だからといってそれは、脅威に対する耐性を捨ててしまってもよいということではないと思うのです。
→次の記事へ( 国内組織におけるセキュリティ対策の実態調査の結果から思うこと )